UNIVERSIDADE ESTÁCIO DE SÁ MBA EM GESTÃO PÚBLICA

Transcrição

1 UNIVERSIDADE ESTÁCIO DE SÁ MBA EM GESTÃO PÚBLICA Rodrigo Santos de Paula PRINCIPAIS ATORES PARA MELHORIA DA GOVERNANÇA DE TIC NO PODER EXECUTIVO FEDERAL, SUAS AÇÕES E AS EVOLUÇÕES ALCANÇADAS Rio de Janeiro 2015

2 RODRIGO SANTOS DE PAULA PRINCIPAIS ATORES PARA MELHORIA DA GOVERNANÇA DE TIC NO PODER EXECUTIVO FEDERAL, SUAS AÇÕES E AS EVOLUÇÕES ALCANÇADAS Trabalho de Conclusão de curso apresentado como requisito para aprovação no curso de pós-graduação MBA em Gestão Pública, da Estácio de Sá, sob orientação da Professora Bárbara Popp. RIO DE JANEIRO RJ 2015

3 MBA em Gestão Pública Rodrigo Santos de Paula Principais atores para melhoria da Governança de TIC no Poder Executivo Federal, suas ações e as evoluções alcançadas Trabalho de Conclusão de Curso apresentado à Universidade Estácio de Sá, como requisito para a obtenção do grau de Especialista em Gestão Pública. Aprovado em, de de Examinador Prof. Moacir Marques da Silva NOTA FINAL

4 RESUMO Este trabalho trata da Governança de Tecnologia da Informação no Poder Executivo Federal, descreve os principais atores institucionais relacionados ao tema, explora as ações executadas por cada um deles e conclui avaliando as evoluções alcançadas nos últimos anos e o que ainda precisa avançar. Palavras-chave: Governança de tecnologia da informação. Governança pública. Tecnologia da informação. Gestão de TI. Gestão pública.

5 Agradeço a Deus, que me concedeu saúde e condições para desenvolver esse estudo. Agradeço a meus familiares, amigos e, principalmente, a minha namorada, que apoiou e compreendeu as horas de estudo dedicadas ao desenvolvimento deste trabalho.

6 5 LISTA DE SIGLAS APF ATI CTPS DNIT ENEM GSI IDEB IRPF MCTI MDIC MPEs MPOG MTE OGS PDTI PEI PETI SGP SIC SINESP SISP SLTI TCU TI ou TIC UJ Administração Pública Federal Analista de Tecnologia da Informação Carteira de Trabalho e Previdência Social Departamento Nacional de Infraestrutura de Transportes Ensino Nacional do Ensino Médio Gabinete de Segurança Institucional Índice de Desenvolvimento da Educação Básica Impostos de Renda de Pessoa Física Ministério da Ciência, Tecnologia e Informação Ministério do Desenvolvimento, Indústria e Comércio Exterior Micros e pequenas empresas Ministério do Planejamento, Orçamento e Gestão Ministério do Trabalho e Emprego Órgãos Governantes Superiores Plano Diretor de Tecnologia da Informação Planejamento Estratégico Institucional Planejamento Estratégico de Tecnologia da Informação Secretaria de Gestão Pública Serviço de Informações ao Cidadão Sistema Nacional de Segurança Pública Sistema de Administração dos Recursos de Tecnologia da Informação Secretaria de Logística e Tecnologia da Informação Tribunal de Contas da União Tecnologia da Informação e Comunicação Unidade Jurisdicionada

7 6 SUMÁRIO 1. Introdução 2. Governança de TI 2.1. Conceitos de Governança e Governança Pública 2.2. Conceitos de Governança de TI 2.3. Levantamento da Governança de TI na Administração Pública Federal 3. Principais atores para melhoria da governança de TIC no Poder Executivo Federal e suas ações 3.1. O Tribunal de Contas da União TCU A criação da Secretaria de Fiscalização de Tecnologia da Informação SEFTI Principais acórdãos referentes à governança de TIC Atividade orientativa 3.2. A Secretaria de Logística e Tecnologia da Informação SLTI/MPOG Competências Atuação da SLTI O Sistema de Administração dos Recursos de Tecnologia da Informação SISP 4. Evoluções alcançadas 4.1. Planejamento estratégico e estrutura de governança de TI 4.2. Segurança da Informação 4.3. Processo de software 4.4. Gestão de serviços de TI 4.5. Processo de Contratação de TI 4.6. Recursos Humanos de TI 5. Conclusões

8 7 1. Introdução A Tecnologia da Informação e Comunicação TIC está presente em praticamente todas as atividades do dia-a-dia das pessoas: dos sistemas bancários acessados pelos respectivos clientes aos smartphones presentes nos bolsos de qualquer pessoa; em forma de hardwares (telefones, computadores, impressoras, modems, etc...) ou softwares (internet banking, sites de busca, redes sociais, aplicativos para celulares, etc...). Do mesmo modo, o ambiente governamental não pode prescindir dos recursos de TIC para execução de suas atividades e consecução de seus objetivos. Como qualquer grande organização dos tempos atuais, a necessidade de recursos de TIC tem sido crescente na Administração Pública Federal APF. Para ilustrar o tamanho do que se trata esse nicho, seguem alguns dados: - quantidade de funcionários públicos civis e militares ativos no Poder Executivo Federal: (1) ; - valor gasto com bens e serviços de TI em 2013 registrados no Portal Comprasnet, sistema onde são registradas as compras realizadas pela APF: R$ ,60 (2) ; - quantidade de processos de compras de TI no ano de 2013: (2) ; - quantidade de domínios.gov.br registrados no âmbito da APF: (3) ; e, - presença geográfica de unidades da APF: 27 unidades da federação. (1) (2) (3) Boletim Estatístico de Pessoal e Informações Organizacionais. Brasília: MPOG, Vol. 19, n. 222, outubro/2014. Disponível em: < rquivos/servidor/publicacoes/boletim_estatistico_pessoal/2014/bol222_out2014_parte_i.pdf>. Acesso em 23/11/2014. MPOG. Informações Gerenciais de Contratações Públicas de Bens e Serviços de Tecnologia da Informação: janeiro a dezembro de Disponível em: < snet_compras_ti_2013.pdf>. Acesso em: 23/11/2014. MPOG. Domínios Registrados. Disponível em: < Acesso em 23/11/2014.

9 8 Ratificando a expressividade da TI dentro da APF, ANDRADE traz as seguintes informações quanto a aspectos orçamentários: Um levantamento recente do Tribunal de Contas da União (TCU) mostrou que o orçamento de gastos em TI da Administração Pública Federal (APF) para 2010 era de pelo menos R$ 12,5 bilhões, sendo parte significativa desse orçamento dirigido para a contratação de serviços relacionados a software. Além disso, há que se considerar que no mesmo ano era previsto um orçamento total da União de R$ 1,8 trilhão, sendo provável que a execução da maior parte dependa, direta ou indiretamente, de TI. Isto faz dos serviços de TI, contratados ou não, um assunto de suma importância para a administração pública brasileira, a requerer grande atenção das instâncias de controle público. (ANDRADE, Edméia; CRUZ, Cláudio; FIGUEIREDO, Rejane p.16.). Os números apresentados demonstram o tamanho da máquina pública federal, que chega a ter 1 milhão de servidores ativos. Desses, aproximadamente 646 mil civis são responsáveis por planejar, executar e controlar as políticas públicas em todo o país. Somente pela manutenção de uma organização desse porte já seria esperado um grande volume de contratos de TIC e uma proporcional atenção sobre os mesmos, contudo, é importante registrar ainda que os produtos e serviços de tecnologia não são aplicáveis somente à manutenção da máquina pública, como suporte ferramental indispensável às atividades de rotina de seus funcionários, mas também como elementos essenciais à implementação de diversas políticas públicas. Ou seja, a tecnologia passa de um papel coadjuvante, de apoio, a uma peça fundamental e propulsora de ações que seriam inviáveis sem a TI, sejam por sua natureza ou escala. Como exemplo de ações governamentais da esfera federal que têm essencial presença tecnológica pode-se citar: - IRPF: o processo de declaração de importo de renda de pessoa física foi completamente automatizado, o preenchimento, a entrega, a análise (malha fina) e a restituição ou o pagamento;

10 9 - Bolsa Família: o cadastro das famílias se dá por meio de um sistema, cada indivíduo tem um Número de Identificação Social NIS associado. O pagamento é feito por meio de crédito em uma conta e o saque é efetuado utilizando-se de um cartão magnético; - Carteira de Trabalho e Previdência Social CTPS: o Ministério do Trabalho e Emprego (MTE) vem informatizando a emissão do documento em todo o Brasil e em alguns estados já é possível solicitar a emissão pela internet ou emiti-la e recebê-la imediatamente no próprio posto de atendimento; - CadSUS: sistema para cadastro e manutenção dos usuários do Sistema Único de Saúde (SUS) e seus domicílios de residência; - ENEM e IDEB: tanto o Exame Nacional do Ensino Médio (ENEM) quanto o Índice de Desenvolvimento da Educação Básica (IDEB) são fortemente dependentes de tecnologia. O ENEM conta com um sistema de inscrição online e divulgação dos resultados para atender a milhares de participantes. O IDEB também conta com um sistema onde é possível que qualquer interessado possa consultar, de diversas formas, as metas e os resultados registrados. - Vôos online: situação dos vôos de chegada e partida nos aeroportos brasileiros em tempo real coletada e provida pela INFRAERO (acesso pelo endereço ou por meio de aplicativo para smartphones); - Condições das Rodovias: situação das rodovias quanto às condições de segurança física atualizada pelo Departamento Nacional de Infraestrutura de Transportes DNIT (acesso pelo endereço ); - SINESP Cidadão: consulta veículos roubados ou furtados e consulta mandados de prisão (acesso pelo endereço

11 10 ou por meio de aplicativo para smartphones); - Portal da Transparência do Governo Federal: gigantesco repositório de dados online, de livre e fácil acesso, que contém informações detalhadas sobre a execução financeira do governo federal, entre muitas outras de interesse público (acesso pelo endereço ); e, - e-sic: sistema online onde é possível que qualquer pessoa solicite ao Poder Executivo Federal informações de interesse público com base na Lei de Acesso à Informação - Lei nº de 18/11/2011 (acesso pelo endereço ). Verifica-se, pelos exemplos, a diversidade de ações governamentais cuja tecnologia tem papel central em seu desenvolvimento, seja na área de saúde, educação, transportes, segurança pública, transparência ou outras. Em decorrência do expressivo crescimento da importância da TIC na Administração Pública Federal, o Tribunal de Contas da União (TCU) desenvolveu diversos trabalhos de pesquisa, auditoria e fiscalização que resultaram em importantes orientações aos entes. No âmbito do Poder Executivo Federal, as recomendações e determinações com características estruturantes foram remetidas à Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão (SLTI/MPOG), que é o órgão central da TIC no referido poder e esfera e desempenha importante papel na governança da tecnologia da informação. Este trabalho descreverá os principais papéis e as ações do TCU e da SLTI e como elas vêm colaborando para melhoria da governança da TI nos órgãos e entidades do Poder Executivo Federal. Também será apresentada uma breve contextualização sobre governança de TI e sobre o surgimento dessa temática como foco de atuação do TCU.

12 11 3. Governança de TI 3.1. Conceitos de Governança e Governança Pública Nos últimos anos muito tem se falado sobre governança. Para o mundo corporativo o tema é indispensável para tomar decisões, gerir os riscos e manter a confiabilidade na organização. Alguns mecanismos de governança são legalmente obrigatórios em função da forma de atuação da empresa e do nicho de mercado que está inserida. Segundo o Referencial Básico de Governança, do Tribunal de Contas da União, a origem da governança: [...] está associada ao momento em que organizações deixaram de ser geridas diretamente por seus proprietários (p. ex. donos do capital) e passaram à administração de terceiros, a quem foi delegada autoridade e poder para administrar recursos pertencentes àqueles. Em muitos casos há divergência de interesses entre proprietários e administradores, o que, em decorrência do desequilíbrio de informação, poder e autoridade, leva a um potencial conflito de interesse entre eles, na medida em que ambos tentam maximizar seus próprios benefícios. Para melhorar o desempenho organizacional, reduzir conflitos, alinhar ações e trazer mais segurança para proprietários, foram realizados estudos e desenvolvidas múltiplas estruturas de governança. (TCU P.13.) As organizações públicas estão inseridas em um meio tão ou mais complexo quanto o das empresas privadas. Muitos são os setores da sociedade que exercem pressões de cunho político, social e econômico sobre as organizações públicas. Dentro do próprio meio público são muitas as interações entre suas organizações, sejam convergentes ou divergentes. A adoção de mecanismos de governança no setor público, logo, se torna essencial ao adequado equilíbrio das forças atuantes de modo a garantir o principal fim da administração pública: o bem comum. De acordo com o trabalho de compilação Good governance in the public sector: consultation draft for an international framework feito pela International Federation of Accountants IFAC, a boa governança pública permite, dentre outros, os seguintes benefícios: - ter clareza sobre quais são os produtos e serviços efetivamente prestados à sociedade e manter o foco nesse propósito;

13 12 - garantir a qualidade e a efetividade dos serviços prestados aos cidadãos; - ser transparente, mantendo a sociedade informada sobre as decisões tomadas e os riscos envolvidos; - promover o desenvolvimento contínuo da liderança e dos seus servidores; - definir claramente processos, papéis, responsabilidades e limites de poder e de autoridade; - institucionalizar estruturas adequadas de governança; - selecionar a liderança tendo por base aspectos como conhecimento, habilidades e atitudes; - avaliar o desempenho e a conformidade da organização e da liderança, mantendo um balanceamento adequado entre eles; - possuir e utilizar informações de qualidade e mecanismos robustos de suporte às tomadas de decisão; - dialogar com a sociedade e prestar contas a ela; - prover os cidadãos de dados e informações de qualidade (confiáveis, tempestivas, relevantes e compreensíveis); - assegurar a existência de um sistema efetivo de gestão de riscos; - utilizar controles internos para manter os riscos em níveis adequados e aceitáveis. (tradução livre) Observa-se assim, a importância e o amplo escopo de emprego da governança na esfera pública. Do aspecto geral, abordado nessa breve introdução, passa-se agora à aplicação setorial da temática Conceitos de Governança de TI Na norma ABNT NBR ISO/IEC Governança Corporativa de Tecnologia da Informação, a governança de TI é descrita como: [...] sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização. (ABNT, 2009, p. 3.)

14 13 Figura 01 Modelo para governança corporativa de TI Fonte: ABNT, 2009, p.7 De acordo com Aguinaldo Fernandes, a governança de TI é composta por quatro grandes etapas: alinhamento estratégico e compliance; decisão; estrutura e processos; e, gestão do valor e do desempenho. Figura 02 O ciclo da Governança de TI Fonte: Fernandes, 2014, p.14

15 14 As duas definições não se contradizem em nenhum ponto, mas se complementam. Quando a norma ABNT NBR ISO/IEC diz direcionar o uso da TI para dar suporte à organização, associa-se à etapa denominada Alinhamento Estratégico e Compliance ; a estratégia e as políticas de uso da TI dentro da organização relaciona-se à etapa de Decisão, Compromisso, Priorização e Alocação de Recursos, realizar planos encontra correspondência em Estrutura, Processos, Operações e Gestão e, por fim, o monitoramento e o controle emergem ao nível estratégico na etapa de Gestão do Valor e do Desempenho. Assim, Fernandes inicia um detalhamento necessário para conceituar e dissecar o largo escopo da chamada governança corporativa de TI. O alinhamento estratégico da TI aos objetivos da organização é ponto chave na governança. Todos os esforços devem convergir para a geração de valor e melhoria do desempenho organizacional. As estruturas de gestão e controle necessitam assegurar a correta orientação da função de TI dentro da organização e prover a alta direção com informações que permitam a tomada de decisões. O envolvimento do alto escalão é indispensável para a definição de políticas, diretrizes e prioridades estratégicas da função de TI. A necessidade de olhar para a TI como uma área estratégica para a organização tardou para ser reconhecida, na verdade, a prática encontra resistências em organizações mais antigas e burocráticas, como os governos. [...] grande parte das melhorias práticas aplicáveis à TI já está disponível há vários anos e somente a partir de 2005 os administradores acordaram para a necessidade da boa gestão das atividades de TI. (FERNANDES, Aguinaldo; ABREU Vladimir p. 9.) Adicionalmente, um fator importante que prejudica esse alinhamento é a cultural falta de planejamento no Brasil. Há poucos anos era comum (em ainda não é raro) encontrar organizações públicas sem Planejamento Estratégico Institucional (PEI). Tal situação obrigava os gestores de TI que tentavam estabelecer um Plano Diretor de Tecnologia da Informação (PDTI) a supor quais seriam os objetivos institucionais para que fosse possível, então, desenhar seu PDTI.

16 15 Por fim, para que se defina o conceito de governança de TI de modo amplo e direto, seguem, respectivamente, os entendimentos de HEINDRICKSON e do TCU sobre o termo: [...] conjunto de políticas, estruturas organizacionais, processos de trabalho, papéis e responsabilidades que são definidos pela alta direção com vistas a direcionar as ações de TI e exercer controle sobre o uso e a gestão de TI na instituição. (HEINDRICKSON, Gelson p.2.) [...] o TCU entende que a governança de TI consiste no estabelecimento de mecanismos para assegurar que o uso da TI agregue valor ao negócio das organizações, com riscos aceitáveis. Esses mecanismos incluem a definição de políticas, estruturas organizacionais, processos, controles, entre outros componentes que possibilitam que os recursos investidos em tecnologia da informação atendam às necessidades não só do negócio da instituição, mas também das diversas partes interessadas que podem ser afetadas pelas decisões relacionadas à TI. (Grifo nosso) O entendimento do TCU, exposto na Nota Técnica 7/2014 (versão 2.8) da SEFTI, acrescenta um ponto importante ao trecho transcrito de HEINDRICKSON: a dimensão externa corporis das partes afetadas pelas ações (ou omissões) relacionadas à TI. Considerando o âmbito governamental, as partes interessadas incluem todos os cidadãos, que podem ser afetados indiretamente ou diretamente por problemas e limitações decorrentes de uma governança de TI deficiente Levantamento da Governança de TI na Administração Pública Federal Para identificar o grau de governança de TI presente nas organizações que compõem a Administração Pública Federal - APF, o TCU iniciou em 2007 uma série de avaliações sobre a situação da governança de TI nos órgãos e entidades da APF. Essas avaliações, realizadas em 2007, 2010 e 2012, revelaram grande deficiência no planejamento e na gestão das áreas de TI. A compilação dos resultados coletados pelo Tribunal através dos formulários respondidos pelos próprios órgãos e entidades demonstrou que, em 2010, quando ocorreu a primeira rodada de avaliação em que foi utilizado um indicador geral de maturidade, 57% das instituições estavam no estágio inicial de governança de TI, 38% no estágio intermediário e somente 5% encontravam-se em estágio aprimorado.

17 16 Entre 2010 e 2012 o indicador, denominado igovti, demonstrou evolução, quando passou a apresentar 34% das instituições no estágio inicial de governança de TI, 50% no intermediário e 16% no estágio aprimorado, conforme visto a seguir: Gráfico 01 Distribuição das organizações por Estágio de Governança de TI Fonte: Informativo sobre o Levantamento Perfil da Governança de TI na Administração Pública Federal (2012), 2012, p.1. O levantamento realizado em 2012 apresentou 36 questões subdivididas em 494 itens e abrangeu 337 instituições da APF que, segundo o TCU, foram selecionadas a partir de critérios como a representatividade no orçamento da União e a estrutura de governança e gestão de TI (TCU p.6.). As seguintes dimensões foram avaliadas e integram o igovti 2012: Liderança da Alta Administração (D1); Controles de Gestão em Estratégias e Planos (D2); Controles de Gestão em Informação e Conhecimento (D3); Controles de Gestão de Pessoas (D4); Controles de Gestão de Processos (D5); e Resultados de Gestão e de Governança de TI para os Cidadãos e para a Sociedade (D9). Para cada uma das 6 dimensões foram feitas uma série de questões e, cada questão continha um número variados de itens de resposta. Os itens de resposta eram ponderados para cada questão de modo que o resultado obtido fosse representado por uma distribuição do universo de respondentes em três faixas de maturidade: Inicial (0 a 39%); Intermediária (40 a 59%); e Aprimorada (60 a 100%). Obtido o resultado de cada uma das 36 questões divididas entre as 6 dimensões, para se chegar ao nível de maturidade de uma dimensão, reproduziu-se os

18 17 resultados das questões para a dimensão atribuindo-se pesos diferentes a cada questão que a compunha. Há questões, inclusive, que não participam da composição do resultado da dimensão, tampouco do índice igovti. Os casos que se enquadram nessa situação são esclarecidos no sumário executivo da própria pesquisa. Por fim, para se chegar ao índice geral que mensura a maturidade das organizações no âmbito da APF em governança de TI, foram atribuídos os seguintes pesos para cada dimensão descrita: D1 30%; D2 15%; D3 3%; D4 26%; D5 20%; e, D9 6%, totalizando 100%. Embora o índice igovti possa não representar a situação da governança de TI de modo absoluto com precisão, até mesmo por que os dados coletados são fornecidos pelas próprias organizações avaliadas, e os pesos atribuídos a cada questão e a cada dimensão possam mascarar situações indesejáveis, o índice é um importante mecanismo de avaliação da evolução da governança de TI ao longo do tempo.

19 18 4. Principais atores para melhoria da governança de TIC no Poder Executivo Federal e suas ações O gradual avanço na governança de TI no âmbito do Poder Executivo Federal devese a ações de dois principais atores: do TCU, que vem desempenhando papel crucial na avaliação da gestão de TI nos órgãos da APF; e do MPOG que é o órgão central para orientação e regulamentação de questões relacionadas à TI no executivo federal O Tribunal de Contas da União TCU O Art. 71 da Constituição Federal de 1988 atribui ao TCU a execução do controle externo, cuja competência originária é do Congresso Nacional. O inciso IV do art. 71 da Constituição Federal determina que o TCU realize, por iniciativa própria, da Câmara dos Deputados, do Senado Federal, de comissão técnica ou de inquérito, auditorias e inspeções de natureza contábil, financeira, orçamentária, operacional e patrimonial nos órgãos e entidades da administração direta e indireta, incluídas as fundações e sociedades instituídas e mantidas pelo poder público federal. As auditorias obedecem a plano específico e objetivam: obter dados de natureza contábil, financeira, orçamentária e patrimonial; conhecer a organização e o funcionamento dos órgãos e entidades, avaliar, do ponto de vista do desempenho operacional, suas atividades e sistemas; e aferir os resultados alcançados pelos programas e projetos governamentais. [...] As fiscalizações voltadas para a legalidade e a legitimidade têm como parâmetro, evidentemente, a lei e os regulamentos. Suas conclusões dão ao TCU elementos para julgar, para fazer determinações aos gestores e, inclusive, para aplicar-lhes sanções em caso de infringência do ordenamento jurídico. (4) (Grifo nosso) (4) TCU. Inspeções e auditorias. Disponível em: < institucional/conheca_tcu/institucional_competencias/competencias_inspec_audit>. Acesso em 25/11/2014.

20 19 A administração pública federal está submetida ao controle do TCU e, conforme destacado no texto, os trabalhos de auditoria e fiscalização não só avaliam o respeito às normas legais e a legitimidade dos atos executados, como também avaliam aspectos operacionais da gestão, o que é crucial para se identificar a origem de situações indesejadas como, por exemplo, a escolha e aquisição de alguma solução de TIC que não resolve o problema para o qual era proposto ou a baixa qualidade de gestão das áreas de tecnologia da informação na Administração Pública Federal A criação da Secretaria de Fiscalização de Tecnologia da Informação SEFTI Com o crescimento da importância estratégica da TIC para as ações desempenhadas pelas suas unidades jurisdicionadas (UJ) e o conseqüente aumento de gastos com tecnologia, começou chegar ao TCU, problemas decorrentes de licitações cujos objetos eram produtos ou serviços de TIC. Com o objetivo de demonstrar o surgimento do tema no Tribunal e o reflexo em seus julgados, segue um levantamento da quantidade anual de Acórdãos emitidos pelo TCU de 2000 a 2014 em que houve menção à expressão tecnologia da informação. Foi encontrado um total de Acórdãos que atendiam à condição citada em consulta realizada no site Tribunal no dia 26/11/2014.

21 20 Gráfico 02 Quantidade de Acórdãos do TCU, por ano, que contém a expressão tecnologia da informação (*) Legenda: Números anuais de 2000 a 2014 calculados a partir de dados obtidos no site do Tribunal. (*) Dados de 2014 até 26/11/2014. Conforme pode ser visto no gráfico, a incidência de Acórdãos que referiam de alguma forma o tema tecnologia da informação de 2000 a 2002 era muito baixa. A partir de 2003 começou uma fase de crescimento, chegando a 2013 com quase 350 acórdãos publicados naquele ano contendo referência ao tema. Em 2006, o TCU fez uma alteração em sua estrutura de secretarias responsáveis pela fiscalização da APF e criou a Secretaria de Fiscalização de Tecnologia da Informação SEFTI. Art. 4º A Resolução/TCU nº 140, de 2000, passa a vigorar acrescida do seguinte art. 27-A: Art. 27-A A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de Tecnologia da Informação pela Administração Pública Federal. (TCU, Resolução nº 193, de 09/08/2006).

22 21 A criação da SEFTI, que tem como missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade (5), sinalizou claramente a importância identifica pelo Tribunal quanto à necessidade de intensificar e especializar as ações de controle na área de tecnologia da informação: Dada a importância estratégica da área de Tecnologia da Informação - TI, a expressiva materialidade tanto das aquisições relacionadas à tecnologia da informação quanto dos recursos geridos por meio de sistemas informatizados no Governo Federal, e o uso cada vez mais crescente da tecnologia da informação para manipulação e armazenamento de dados da Administração Pública Federal, introduzindo novos riscos e aumentando a fragilidade de algumas atividades, o Tribunal de Contas da União conta com a Secretaria de Fiscalização de Tecnologia da Informação - Sefti, como unidade especializada na área. [...] Suas três Divisões de Governança de Tecnologia da Informação possuem a atribuição de coordenação e realização de fiscalizações da governança de TI, nos sistemas informatizados da Administração Pública, nas iniciativas de governo eletrônico e na gestão dos recursos de tecnologia da informação, bem como a missão de coordenação e realização de fiscalizações em editais de licitação, em contratos e em processos de aquisições diretas. (6) (Grifo nosso.) Verifica-se no último parágrafo o amplo escopo de atuação da SEFTI, que abarca nos campos de sua fiscalização temas como: governança de TI; sistemas da Administração Pública Federal; iniciativas de Governo Eletrônico; gestão dos recursos de TI e aquisições de TI. Todos os temas citados estão inter-relacionados. Uma organização não vai conseguir comprar bem se ela não tem uma boa gestão dos recursos de TI, especialmente dos recursos humanos. Os sistemas da APF não vão funcionar a contento se essa não realizar contratações que bem se adequem às suas necessidades, o que, por sua vez, poderá comprometer as iniciativas de governo eletrônico. Para tudo isso funcionar com eficiência e atender ao interesse público efetivamente, são indispensáveis mecanismos de governança ativos. (5) TCU. Fiscalização de Tecnologia da Informação. Disponível em: < Acesso em 27/11/2014. (6) TCU. Fiscalização de Tecnologia da Informação: História. Disponível em: < ade/historia>. Acesso em 27/11/2014.

23 22 Na Nota Técnica nº 7/2014 versão 2.8, que trata da organização e do aprimoramento contínuo da governança de TI no âmbito da APF, a SEFTI/TCU teceu algumas considerações acerca do tema: 7. A jurisprudência recente do TCU tem recomendado aos OGS que emitam orientações acerca das práticas de governança de TI a serem adotadas pelas instituições a eles jurisdicionadas, em especial no que diz respeito ao planejamento estratégico de TI, à implantação de comitê de TI, à gestão de pessoal de TI, à gestão de riscos de TI, à gestão orçamentária de TI, entre outros temas relacionados, conforme disposto nos acórdãos 1.603/2008, 2.471/2008, 2.308/2010 e 2.585/2012, todos do Plenário do TCU. No âmbito do Poder Executivo Federal, o Órgão Governante Superior OGS citado é o Ministério do Planejamento Orçamento e Gestão, mais especificamente a Secretaria de Logística e Tecnologia da Informação (SLTI), que será tema de tópico a seguir Principais acórdãos referentes à governança de TIC Em função do preocupante cenário encontrado, o Tribunal iniciou uma série de ações de fiscalização e orientação para melhorar a situação da governança de TI no âmbito da APF. Destaca-se a seguir, em ordem cronológica, os principais Acórdãos decorrentes dessas ações (todos do Plenário do Tribunal) e as respectivas recomendações e determinações mais importantes para melhoria da gestão de TI na APF: - Acórdão nº 140/2005: i) sinalizou que haveria falhas na estrutura de recursos humanos dos setores de informática dos órgãos da Administração Direta do Poder Executivo, o que impediria esses setores de executarem com eficiência as atividades ligadas ao planejamento estratégico de informática e à coordenação, à fiscalização e ao controle das ações de TI; ii) determinou à Secretaria Federal de Controle da Controladoria-Geral da União (CGU), que realizasse auditorias para avaliar esse tema. - Acórdão nº 786/2006: i) ratificou o entendimento de contratação dando preferência ao modelo de execução indireta de serviços baseado na

24 23 prestação e remuneração de serviços mensurados por resultados e não por hora; ii) determinou que o edital de licitação previsse metodologia de aferição da qualidade com parâmetros objetivos; iii) alertou ao MPOG que provesse os setores de informática dos órgãos e entidades da Administração Pública Federal com estrutura organizacional e quadro permanente suficientes para realizar, de forma independente das empresas prestadoras de serviços, o planejamento, a definição, a coordenação, a supervisão e o controle das atividades de informática ; iv) incluiu a recomendação ao MPOG que deu origem à criação da Instrução Normativa nº 4 pela SLTI, que define o processo de contratação de produtos e serviços de TIC a ser seguido pelas organizações integrantes do SISP Sistema de Administração dos Recursos de Tecnologia da Informação. - Acórdão nº 1.603/2008 (primeira avaliação igovti): recomendou à CGU que realizasse regularmente auditorias de TI e, ao MPOG, que, no seu papel de órgão central de TIC dentro da APF: i) promovesse ações para disseminar a importância do planejamento estratégico institucional e de TI; ii) atentasse para o quantitativo e para a capacitação dos servidores nas áreas de TI dos órgãos; iii) estimulasse a adoção de metodologia de desenvolvimento de sistemas, promovesse ações para assegurar a gestão dos níveis de serviço fornecido aos usuários assim como dos níveis de serviço entregue pelas prestadoras de serviço; iv) adotasse providências para garantir propostas orçamentárias realistas e alinhadas ao planejamento estratégico. - Acórdão nº 2.471/2008, recomendou ao MPOG que: i) definisse e normatizasse os conteúdos mínimos necessários aos termos de referência e projetos básicos para contratação de produtos e serviços de TIC, com destaque para as seguintes informações: declaração do objeto; fundamentação da necessidade da contratação; requisitos da contratação, limitados àqueles indispensáveis à execução do objeto; modelo de prestação dos serviços; mecanismos de gestão do contrato; estimativa do preço; forma e critérios de seleção do fornecedor; e, adequação orçamentária; ii) fixasse em normativo próprio para contratações de serviços e produtos de TI a obrigatoriedade de utilização de pregão para bens e serviços comuns; iii)

25 24 elaborasse um modelo de governança de TI para os integrantes do SISP e promovesse sua implementação nos diversos órgãos e entidades sob sua coordenação; iv) provesse os setores de informática dos órgãos e entidades da Administração Pública Federal da estrutura organizacional e de quadro permanente de pessoal que sejam suficientes para realizar, de forma independente das empresas prestadoras de serviços, o planejamento, a definição, a coordenação, a supervisão e o controle das atividades de informática e avaliasse a conveniência e oportunidade da criação de uma carreira específica; v) construísse uma base contendo as normas e jurisprudências sobre aquisição de bens e serviços de TI; e, vi) reavaliasse a estrutura e recursos empregados na SLTI em face das atribuições que incluem a promoção da boa governança de TIC na APF. O acórdão também recomendou: i) ao Gabinete de Segurança Institucional (GSI) da Presidência da República, que criasse procedimentos para elaboração e identifique boas práticas de Políticas de Segurança da Informação, Políticas de Controle de Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio; ii) à Escola Nacional de Administração Pública (ENAP), que criasse ações de capacitação voltadas para os gestores de Tecnologia da Informação da Administração Pública Federal; e, iii) à Controladoria-Geral da União (CGU), que utilizasse as recomendações constantes do acórdão para realização de auditorias na área de TI. - Acórdão nº 2.308/2010 (segunda avaliação igovti): i) recomendou à SLTI que orientasse as unidades sob sua supervisão acerca da necessidade da alta administração de cada unidade estabelecer, formalmente, objetivos institucionais de TI alinhados às estratégias de negócio, indicadores para cada objetivo definido, metas para cada indicador definido e mecanismos para o acompanhamento em nível estratégico do desempenho da TI da instituição; e, ii) determinou à SEFTI: desenvolva ações de estímulo à conscientização da alta administração das unidades da administração pública federal acerca de conceitos, objetivos, indicadores, ações e estruturas de governança de tecnologia da informação.

26 25 - Acórdão nº 1.233/2012: recomendou que as unidades da APF desenvolvessem seu Planejamento Estratégico Institucional (PEI), contemplando, pelo menos, objetivos, indicadores e metas para a organização, e seus respectivos Planejamentos Estratégicos de TI (PETI), contendo objetivos explicitamente alinhados aos objetivos de negócio definidos no PEI. O citado acórdão também recomendou que a SLTI/MPOG: i) normatizasse a obrigatoriedade da criação dos comitês de TI (colegiado composto por representantes das diversas áreas da organização que tem como principal tarefa a definição de prioridade para as ações a serem executadas pela área de TI); ii) orientasse os órgãos a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização; iii) orientasse os órgãos que as atividades de gestão (planejamento, coordenação, supervisão e controle) de TI deveriam ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comissão, não podendo ser delegadas a pessoas direta ou indiretamente ligadas a empresas contratadas, mesmo que empresas públicas; iv) elaborasse um modelo de processo de software, um modelo de estrutura de gerenciamento de projetos e um modelo de processo de gestão de serviços de TI incluindo, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança; v) estabelecesse normativamente a obrigatoriedade que a alta administração implante estrutura de controles internos para mitigar o risco de suas atividades nos processos essenciais de TI; vi) orientasse os órgãos sobre a necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software; vii) orientasse sobre a obrigatoriedade da etapa de planejamento da contratação e sobre o modelo de pagamento vinculado a resultados. Por fim, o citado acórdão recomendou à CGU e às unidades de auditoria interna sob sua orientação que considerassem os temas governança de TI, riscos de TI e controles de TI na seleção dos objetos a auditar.

27 26 - Acórdão 2.585/2012 (terceira avaliação igovti), recomendou à SLTI a orientar as unidades sob sua supervisão que: i) os planejamentos estratégicos institucionais e os planejamentos estratégicos de TI são públicos e devem ser amplamente divulgados, princípios da transparência e prestação de contas; ii) os processos críticos de negócio deverão ser identificados e os gestores dos sistemas que o dão suporte formalmente designados; iii) sejam definidas metas de governança nos planos diretores de TI baseadas em parâmetros de governança, necessidades de negócio e riscos relevantes, atentando para as metas legais de cumprimento obrigatório ; iv) se articulem com a ENAP para ampliar a oferta de ações de capacitação em planejamento e gestão de contratos de TI. - Acórdão 1.200/2014 (carreira de TI), recomendou à SLTI a orientar as unidades sob sua supervisão para: i) identificar os casos em que atividades sensíveis e estratégicas inerentes à TI estejam sendo desempenhadas por agentes externos ao quadro permanente de pessoal; ii) elaborar plano de substituição desses agentes externos por servidores públicos efetivos; iii) manter atualizado estudo quantitativo sobre a necessidade de alocação de Analistas em Tecnologia da Informação (ATIs) para atender aos órgãos integrantes do SISP; iv) acelerar a análise da proposta de criação da carreira específica de ATI, com remuneração que entender adequada e coerente com a relevância das atribuições desenvolvidas, visando reduzir a elevada taxa de evasão dos ocupantes do cargo; v) estabelecer estratégias que visem a redução da rotatividade do pessoal efetivo atuante na área de TI Atividade orientativa Complementarmente às recomendações e determinações constantes dos acórdãos emitidos, o Tribunal de Contas da União desenvolve a atividade de orientação dos gestores com o objetivo de difundir as boas práticas de gestão aplicáveis. No âmbito da Secretaria de Fiscalização de Tecnologia da Informação do TCU, cujos trabalhos de auditoria executados identificaram uma grande fragilidade em praticamente todos os aspectos da gestão de TI desenvolvida nos órgãos da

28 27 Administração Pública Federal, a atividade orientativa do Tribunal se faz uma indispensável ferramenta para prover as unidades de conhecimento e de estímulo para quebrar a barreira da inércia ou acelerar a maturação dos processos. Conforme disponível no site da SEFTI, a Secretaria elabora e dissemina: metodologias, manuais, notas técnicas e procedimentos para planejamento e execução de fiscalizações de tecnologia da informação [...] também realiza ações sistematizadas de relacionamento, divulgação e troca de conhecimentos com a sociedade, o Congresso Nacional e os Gestores Públicos por meio do Diálogo Público de TI.. (7) Seu site na internet concentra mais de uma centena de arquivos contendo apresentações realizadas, boas práticas, notas técnicas, informativos e sumários executivos de trabalhos especiais desenvolvidos pela Secretaria. Um dos mais recentes trabalhos publicados é a Nota Técnica 7/ Sefti/TCU versão 2.8, que trata do processo de aprimoramento contínuo da governança de TI no âmbito da APF. O documento analisa aspectos-chaves da governança de TI cujos trabalhos realizados pelo Tribunal nos últimos anos encontrou fragilidades e registra oito entendimentos contendo recomendações de boas práticas para mitigálas. Merecem destaque ainda: a Nota Técnica 6/ Sefti/TCU versão 1.2, que trata da Aplicabilidade da Gestão de Nível de Serviço como mecanismo de pagamento por resultados em contratações de serviços de TI pela Administração Pública Federal ; a Cartilha de Boas Práticas em Segurança da Informação 4ª Edição; e, o Guia de Boas Práticas em Contratação de Soluções de Tecnologia da Informação 1ª Edição. (7) TCU. Fiscalização de Tecnologia da Informação: História. Disponível em: < ade/historia>. Acesso em 18/12/2014.

29 A Secretaria de Logística e Tecnologia da Informação SLTI/MPOG Competências A Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento Orçamento e Gestão SLTI/MPOG é o órgão central quanto ao tema de TIC no Poder Executivo Federal. A ela cabem os papéis normativo e orientativo sobre gestão de TI nos órgãos da administração direta e indireta do referido Poder. Seguem os principais trechos do Decreto nº de 21/01/2014 que trouxeram uma atualização nas competências da SLTI: Art. 34. À Secretaria de Logística e Tecnologia da Informação compete: I - propor políticas, planejar, coordenar, supervisionar e orientar normativamente as atividades: a) de gestão dos recursos de tecnologia da informação, no âmbito do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP, como órgão central do sistema; [...] d) de governo eletrônico, relacionadas à padronização e à disponibilização de serviços eletrônicos interoperáveis, acessibilidade digital e abertura de dados; e e) de segurança da informação no âmbito do SISP; [...] III - presidir a Comissão de Coordenação do SISP; e [...] Art. 36. Ao Departamento de Infraestrutura e Serviços de Rede compete: I - normatizar, promover e coordenar ações junto aos órgãos do SISP quanto a: [...] b) definição de processos e procedimentos de contratações de soluções de tecnologia da informação; II - gerir a infraestrutura tecnológica da rede de comunicação do Governo federal; e [...]

30 29 Art. 37. compete: Ao Departamento de Governança e Sistemas de Informação I - normatizar, promover e coordenar ações junto aos órgãos do SISP quanto a: a) gestão e governança de tecnologia da informação; b) inovações e modelos tecnológicos; c) gestão de pessoas e capacitação; e d) melhoria de processos de desenvolvimento de sistemas; [...] III - promover o desenvolvimento e a implantação, na administração federal, de sistemas informatizados que possibilitem o incremento da produtividade, o aperfeiçoamento do ciclo de políticas públicas e subsidiem a tomada de decisão; e [...] Art. 38. Ao Departamento de Governo Eletrônico compete: I - coordenar, disciplinar e articular a implantação de ações integradas de governo eletrônico na administração pública federal; II - promover e coordenar atividades relacionadas à prestação de serviços públicos por meios eletrônicos na administração pública federal; III - definir, publicar e disseminar padrões e normas em governo eletrônico referentes a acessibilidade, interoperabilidade, serviços e conteúdos públicos digitais e coordenar a sua implementação; [...]. (Grifo nosso). Verifica-se por meio dos trechos transcritos as expressivas responsabilidades atribuídas à SLTI e que devem repercutir em todos os órgãos pertencentes ao Sistema de Administração dos Recursos de Tecnologia da Informação SISP. As atribuições de planejar, coordenar, supervisionar e orientar normativamente perpassam diversas disciplinas aplicadas à TI, tais como: Governança, Gestão, Compras Públicas, Modelos de Processos, Especificações Técnicas, Recursos Humanos e Segurança da Informação. É importante lembrar que a SLTI compartilha a responsabilidade de normatização de diversas dessas disciplinas com outras unidades de governo cujo escopo de atuação também seja transversal, ou seja, cujas competências incluem assuntos que perpassam todos os órgãos do Poder Executivo Federal, por exemplo: Compras

31 30 Públicas e Recursos Humanos cujas unidades compõem o próprio MPOG e a disciplina de Segurança da Informação, cuja competência normativa é compartilhada com o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) Atuação da SLTI A atuação da SLTI como órgão central do tema TIC no Poder Executivo Federal têm ganhado importância nos últimos anos. Esse crescimento deve-se à necessidade de planejamento, de orientação normativa, de coordenação e de assessoria identificada pelo TCU nos órgãos da Administração Pública Federal por meio das auditorias realizadas, que levaram à publicação de vários Acórdãos contendo determinações e recomendações com o objetivo de melhorar o nível da Governança de TI nas referidas organizações. Dos Acórdãos emitidos pelo Tribunal que têm relação com o objetivo citado, os principais já foram objeto de estudo em capítulo anterior que abordou o papel do Tribunal de Contas da União na melhoria da Governança de TI. Como resultado efetivo desse trabalho que vem sendo desenvolvido pelo Tribunal, mais especificamente pela SEFTI, o índice de governança de TI (igovti) vêm melhorando gradativamente a cada avaliação, não obstante ainda esteja distante do desejado. Os órgãos da APF começaram a sair da situação de inércia devido ao acompanhamento mais frequente dos órgãos de controle (TCU e CGU) e ao crescente protagonismo da SLTI/MPOG, que vem sendo fortalecido pelos Acórdãos do Tribunal. No cumprimento de seu papel institucional de planejamento e orientação normativa, destacam-se os seguintes trabalhos desenvolvidos pela SLTI e que vão ao encontro das recomendações e determinações recebidas: - Edição da Instrução Normativa SLTI nº 04, conhecida como IN 04. Sua primeira versão foi publicada em 2008 e já passou por duas revisões: uma em 2010 e outra em 2014, cuja vigência iniciou em janeiro de A norma define o processo de contratação de produtos e serviços de TI que deve ser obrigatoriamente seguido pelos órgãos que compõem o SISP. A IN 04 descreve as etapas do processo (do planejamento ao encerramento do

32 31 contrato), define os artefatos necessários, seus requisitos mínimos, os atores e as responsabilidades envolvidas. - Edição de Guia Prático para Contratações de produtos e serviços de TI baseado no arcabouço legal vigente e contendo modelo de artefatos exigidos pela IN Especificações técnicas de equipamentos e serviços comuns. - Desenvolvimento da EGTIC Estratégia Geral de Tecnologia da Informação e Comunicação. Trata-se de um documento de planejamento estratégico central para alinhar os demais planejamentos de TI dos órgãos da Administração direta, autárquica e fundacional do Poder Executivo Federal: A EGTIC estabelece sete objetivos estratégicos distribuídos em cinco perspectivas: Sociedade; Governo Federal; Processos Internos; Pessoas, Aprendizado e Crescimento e Financeiro. Após a definição desses objetivos e da orientação estratégica para alcançá-los, foram estabelecidas metas, indicadores, projetos e ações de forma a mensurar objetivamente os resultados alcançados pelos órgãos. (MPOG/SLTI, Estratégia Geral de Tecnologia da Informação e Comunicações , 2014, p.10.) - Publicação do Guia de Elaboração de PDTI do SISP, que descreve o passoa-passo necessário à elaboração de um Plano Diretor de Tecnologia da Informação para organização. - Publicação do Guia de Comitê de TI do SISP, que reúne as informações necessárias para que os gestores implantem o referido comitê, que funciona como um dos principais instrumentos de governança da TI da organização. - Criação de Metodologia de Gerenciamento de Projetos do SISP (MGP-SISP), reunindo um conjunto de boas práticas no tema aplicáveis à administração pública. - Criação de Processo de Software para o SISP (PSW-SISP), reunindo as atividades necessárias ao planejamento, construção e sustentação de um software.

33 32 - Elaboração do Roteiro de Métricas de Software do SISP, que aborda questões técnicas para o dimensionamento de projetos de software. - Elaboração do Modelo de Acessibilidade em Governo Eletrônico (emag) que aborda as técnicas e define os padrões para construção de sites acessíveis a cidadãos com limitações físicas. - Desenvolvimento da arquitetura e-ping - Padrões de Interoperabilidade de Governo Eletrônico com a definição de premissas, políticas e especificações técnicas que definem o modo dos serviços eletrônicos serem interoperáveis, ou seja, se comunicarem, trocando dados e compartilhando funções. - Criação dos Padrões Web em Governo Eletrônico (epwg), que atualmente conta com 5 cartilhas: de Codificação; de Administração; de Usabilidade; de Redação Web; e de Desenho e Arquitetura de Conteúdo O Sistema de Administração dos Recursos de Tecnologia da Informação SISP Se o Governo Federal fosse uma empresa, ele seria uma enorme companhia com mais de duas centenas de subsidiárias presentes em todo território nacional, sendo que cada uma delas com realidades bem distintas uma das outras quanto a aspectos de autonomia, orçamento, recursos humanos e finalidade. Essa grande heterogeneidade cria dificuldades na gestão pública no âmbito do Poder Executivo Federal e, consequentemente, na gestão de TIC das respectivas organizações. Para contornar esse problema no âmbito da TIC, foi criado o Sistema de Administração dos Recursos de Tecnologia da Informação SISP, que congrega todos os órgãos da Administração Direta além das autarquias e fundações públicas, e tem como órgão central a Secretaria de Logística e Tecnologia da Informação SLTI do Ministério do Planejamento Orçamento e Gestão.